LMDeploy SSRF脆弱性CVE-2026-33626が公開13時間で悪用、AI推論基盤からクラウド認証情報窃取

「LLMの推論サーバーから内部ネットワークがスキャンされるって、どういうこと?」
「公開13時間で悪用って早すぎない?なぜそんな速さで攻撃できるの?」

チップス

ボス、画像読み込みの脆弱性で、AWSの認証情報まで取られたって本当でしゅか?

ボス

本当だ。SSRFという古典的な脆弱性が、LLMサーバーに居座っていたわけだな。
そして攻撃者は公開からわずか12時間半でハニーポットに襲いかかった。

2026年4月23日、LLMデプロイメントツールキットのLMDeployにSSRF脆弱性CVE-2026-33626(CVSS 7.5)が公開されました。
Sysdigによれば、公表からわずか12時間31分後にハニーポットへの実攻撃が観測されています。
本記事では脆弱性の仕組み、攻撃者が一連のセッションで何を行ったか、そして自社のAI推論基盤を守るための対策を整理します。

AI推論サーバーは「モデル特化のブラックボックス」と扱われがちですが、Webアプリと同じ脆弱性が潜みます。
本稿で攻撃者の動きを追えば、自社のAI環境の盲点が見えてくるはずです。

1.公開13時間で悪用、観測された攻撃の全容

Sysdigが運用するハニーポットは、攻撃者の足跡を分単位で記録していました。
そこから見えるのはAI基盤を狙う攻撃の現在地です。

8分間のセッションで完了した内部偵察

4月23日のCVE公開後、12時間31分でハニーポットへの最初の攻撃が記録されました。
攻撃者は約8分間のセッションで、画像ローダーを汎用HTTP-SSRFプリミティブとして悪用し、内部ネットワークを総当たりしています。
主な探索対象は以下のとおりです。

引用元: Sysdig Blog

チップス

たった8分でクラウド認証情報まで取れちゃうんでしゅか…!

ボス

SSRFはIMDSと相性が悪い。
クラウド側のメタデータエンドポイントは内部IPでしか叩けない設計だが、SSRFはまさにそれを通すからな。

2.脆弱性の仕組みとAI推論基盤への影響

原因はシンプルですが、AI特有の機能との組み合わせで深刻化したケースです。

vision-language画像ローダーの検証不備

脆弱性はlmdeploy/vl/utils.pyのload_image()関数に存在しました。
この関数は画像URLを受け取って取得する処理を行いますが、内部IPアドレスやプライベートレンジへのアクセスを検証していませんでした。
影響範囲は以下のとおりです。

引用元: GitLab Advisory Database

AI基盤を運用するなら今やるべきこと

「AI推論サーバーはGPUインスタンスだから特別」という思い込みは捨てる必要があります。
SSRFはWebアプリ全般に共通する課題で、対策パターンは確立されています。
優先順位の高い手当ては以下のとおりです。

チップス

うちのLLM基盤、IMDSv1のままでしゅよ…帰ったら確認しないと!

ボス

その判断は正しい。
v1のままなら、SSRFがあった瞬間にAWSの認証情報を盗まれる構造だ。

まとめ

CVE-2026-33626は「12時間半で悪用される」という事実そのものが、AI関連OSSのリスクを物語っています。
脆弱性公開の瞬間から防御側の時間は急激に減っており、即時アップデートの体制と、被害を限定するネットワーク分離が同等に重要です。
AI推論基盤を運用するチームは、Webアプリと同じ「SSRF・IMDS・SG」の三点セットを今夜中に見直してください。
「AIだから新しい守り方が必要」ではなく、「AIにも従来の基本対策を漏れなく」が正解です。